Khi đăng ký Gmail, nay đã chuyển sang cách quét mã QR và gửi tin nhắn văn bản

 (discuss.privacyguides.net)
3 điểm bởi GN⁺ 2 giờ trước | 1 bình luận | Chia sẻ qua WhatsApp
  • Cách đăng ký tài khoản Google đã thay đổi: thay vì xác thực bằng cách nhận SMS như trước, hệ thống chuyển sang hình thức người dùng tự gửi SMS trực tiếp từ điện thoại của mình
  • Khi quét mã QR trên điện thoại thông minh, một SMS sẽ được gửi tự động tới Google để thực hiện xác minh số điện thoại
  • Thay đổi này chặn việc tạo tài khoản thông qua các dịch vụ nhận số tạm thời như SMSpool
  • Dù có tác dụng chống lừa đảo, thay đổi này cũng khiến việc tạo tài khoản ẩn danh trở nên khó khăn hơn đối với những người coi trọng quyền riêng tư
  • Do quy định đăng ký SIM bằng danh tính thật theo từng quốc gia và việc phân bổ lại số điện thoại, vấn đề đang được quan tâm là liệu Google có thể lần theo danh tính bằng lịch sử số điện thoại trong quá khứ hoặc yêu cầu xác minh lại hay không

Phương thức đăng ký đã thay đổi

  • Cách đăng ký bằng mã QR trước đây không còn hoạt động nữa; khi quét mã QR trên điện thoại thông minh, một SMS sẽ được gửi từ điện thoại của người dùng tới Google để xác minh số điện thoại
  • Phương thức này được đưa vào vì mục đích bảo mật và có tác dụng khiến việc lừa đảo trở nên khó hơn
  • Tuy nhiên, việc xác minh thông qua các dịch vụ chỉ nhận SMS như SMSpool nay không còn khả thi

Lo ngại về quyền riêng tư

  • Người dùng thông thường vốn không dùng các dịch vụ xác minh SMS, nên nhóm bị ảnh hưởng chủ yếu bởi thay đổi này là những cá nhân coi trọng quyền riêng tư
  • Việc mua tài khoản cũ có rủi ro riêng, vì không thể biết được mối liên hệ với chủ sở hữu trước đó
  • Cũng có ý kiến cho rằng Google ngày càng khép kín hơn và cần có các cách lách khác

Việc áp dụng xác minh mã QR theo từng khu vực

  • Có ý kiến đặt câu hỏi liệu xác minh bằng mã QR có được áp dụng giống nhau ở mọi quốc gia hay không
  • Ở một số nước (ví dụ: Ý), khi mua SIM thì bắt buộc phải đăng ký giấy tờ tùy thân; sau khi tạo tài khoản bằng số đó rồi số bị phân bổ lại, vẫn chưa rõ liệu có thể bị lần theo hay không
  • Google lưu lịch sử của mọi số điện thoại mà người dùng đã đăng ký, nhưng không cho phép xác minh bằng số không còn thuộc sở hữu của người dùng nữa

Phản biện từ góc độ bảo mật

  • Cách gửi SMS từ điện thoại của người dùng làm dấy lên lo ngại về khả năng giả mạo số điện thoại, và vì thế có ý kiến băn khoăn về việc dùng nó cho MFA
  • Cũng có dự đoán rằng cuối cùng sẽ xuất hiện các dịch vụ lách mới chuyên cung cấp khả năng gửi SMS

Bài viết liên quan

1 bình luận

 
GN⁺ 2 giờ trước
Ý kiến trên Hacker News

  • Có rất nhiều lời phàn nàn về Gmail, nhưng ở mức độ nào đó cũng có thể hiểu được tình thế mà Google đang ở trong đó
    Về thực chất, họ đã bị trói vào vai trò duy trì miễn phí một phần lớn của hạ tầng Internet, và vì số người dùng quá nhiều nên nếu đóng lại thì cả thế giới sẽ náo loạn
    Chi phí duy trì thì đắt đỏ, phức tạp và tốn thời gian, đồng thời đây cũng là nơi phát sinh và tiếp nhận spam lẫn lừa đảo. Gánh nặng phải lưu trữ dữ liệu gần như vĩnh viễn cũng rất lớn
    Dù vậy, bản thân ý tưởng email miễn phí về cơ bản là không tốt. Khó có thể kỳ vọng dịch vụ email miễn phí sẽ tốt hoặc được hỗ trợ chu đáo, và việc nó vẫn còn tồn tại có lẽ cũng do sợ phản ứng dây chuyền hơn là vì thiện chí. Cứ dùng dịch vụ email trả phí sẽ tốt hơn và cũng yên tâm hơn

    • Cách nói “bị buộc phải gánh miễn phí” là không đúng. Chính Google tự cung cấp miễn phí, và vào thời đó dung lượng miễn phí là lớn đến mức phi lý
      Khi ấy hộp thư của ISP mà cho 25MB hay 50MB đã là khá ổn, còn Google thì cung cấp tới 1~2GB để thu hút người dùng
      Họ có quyền áp dụng biện pháp để ngăn lạm dụng và cũng không có nghĩa vụ phải tiếp tục miễn phí, nhưng đâu phải Google bị ép phải gánh email miễn phí, và việc đưa ra ưu đãi lớn hơn hẳn đối thủ cũng là lựa chọn của chính họ
    • Tôi không hiểu “miễn phí” nghĩa là gì. Google nắm toàn bộ dữ liệu họ thu được từ người dùng, và giờ họ còn có thể theo dõi ngay cả khi bạn không dùng điện thoại
      Họ còn kiểm soát cả cách Internet vận hành. Họ có thể ép HTTPS, và cũng có thể tùy ý thao túng tracker hay etag
      Họ có thể bán mọi thông tin về người dùng với giá tốt, và theo điều khoản thì ngay cả khi họ cắt nhỏ rồi bán đi, người dùng cũng khó mà phản đối. Bề ngoài có thể trông như miễn phí, nhưng rất nhiều người đang trả premium cho Google theo nhiều cách khác nhau
      Google ngày xưa từng được kính trọng vì tạo ra một thế giới tốt đẹp hơn bằng đổi mới và ý tưởng hay, nhưng giờ họ vẫn đang thay đổi thế giới, chỉ là không còn theo hướng dành cho tất cả mọi người
    • Hoàn toàn không đúng. Google đóng sản phẩm và dịch vụ rất thường xuyên mà chẳng hề ngần ngại
      Nếu Gmail đắt hơn giá trị dữ liệu mà nó moi ra và bán trực tiếp hoặc gián tiếp từ người dùng, thì Gmail đã không tồn tại
    • Gmail bây giờ cũng như trước đây chưa bao giờ là miễn phí. Mọi người đều đang trả tiền
      Nếu doanh nghiệp muốn liên hệ khách hàng thì phải trả phí để vào danh sách cho phép phục vụ gửi số lượng lớn, và chi phí đó còn bị chuyển sang cả những khách hàng chưa từng dùng Gmail
      Nếu một công ty không trả tiền cho danh sách đó mà lại có nhiều khách hàng dùng Gmail, họ phải cẩn thận áp giới hạn tốc độ gửi nên email có thể không đến trong ngày
      Các công ty email marketing và chiến dịch cũng trả tiền cho danh sách này, rồi lại chuyển chi phí đó sang khách hàng của họ. Vốn dĩ chưa từng có nhà cung cấp email nào nhận email hàng loạt tới hàng triệu người hoàn toàn miễn phí
    • Hệ sinh thái Google năm ngoái tạo ra hơn 130 tỷ USD lợi nhuận, nên chẳng có gì đáng thương cả

  • Nếu có ai phụ trách Gmail ở đây, tôi muốn họ giải thích vì sao Gmail lại cho phép các email phishing lạm dụng chính dịch vụ của Google tồn tại. Ví dụ như https://storage.googleapis.com/savelinge/
    Thông tin chi tiết hơn ở đây: https://news.ycombinator.com/item?id=46665414

    • Gần đây spam thực sự đang trở nên rất tệ. Chúng dùng các trang hợp pháp để vượt qua bộ lọc, ví dụ gửi hóa đơn thông qua các trang tạo hóa đơn bình thường
      Còn có kiểu giả làm dịch vụ theo dõi giao hàng cho món bạn đã đặt, rồi trong vài ngày dựng chuyện như thể bưu kiện đã bị thất lạc, sau đó dụ bạn dùng mã giảm giá trị giá bằng “số tiền mua hàng” trên một trang phishing
      Gmail không chỉ không phân loại những email đó là spam, mà còn xếp chúng thành email quan trọng, đẩy thông báo ưu tiên cao nhất và cả phần tóm tắt lên
    • Có vẻ Google chấp nhận mọi thứ miễn là có dính tới dịch vụ của họ. *.bc.googleusercontent.com đã bị dùng như một trang trại spam suốt nhiều năm nên tôi đã chặn hoàn toàn
      Nhưng Google dường như chẳng quan tâm chút nào, có lẽ vì họ không muốn làm phiền người dùng Compute Engine dù chỉ một chút
    • Vì cùng một lý do khiến việc lọc spam khó khăn. Nếu cố bắt hết mọi kiểu lạm dụng dịch vụ thì sẽ có quá nhiều false positive, nên bất khả thi
    • Không có câu trả lời, nhưng ít nhất điều này cũng tạo ra một giả thuyết để giải thích vì sao mấy email spam “Costco” ngu ngốc, quá lộ liễu từ địa chỉ @gmail.com cứ tiếp tục chui vào hộp thư đến dù đã đánh dấu spam bao nhiêu lần
    • Có vẻ Google không ngăn được AppSheet mà họ mua lại bị phisher lợi dụng để gửi những email khá thuyết phục và có nhắm mục tiêu. Những email đó còn vào được cả inbox thông thường
      Nếu các yêu cầu đều bị phớt lờ, có lẽ chỉ còn cách chuyển những email lừa đảo tuyển dụng kiểu này cho đội pháp lý, chống gian lận hoặc chống phishing của thương hiệu bị mạo danh. Nếu công ty tỏ ra không quan tâm, thì công văn từ hãng luật có thể giúp nâng độ ưu tiên

  • Về nội dung “nếu dùng smartphone quét mã QR thì điện thoại sẽ gửi SMS tới Google để xác minh số điện thoại”, tôi muốn biết có nguồn nào tốt hơn mấy bình luận trên diễn đàn nghĩ rằng chỉ cần quét QR là tin nhắn được gửi đi hay không
    Kiểm tra thì thấy đó chỉ là SMS URI. Nó không tự động gửi bất cứ thứ gì, mà chỉ mở sẵn tin nhắn để người dùng gửi
    Cuối cùng thì đây chỉ là cách thêm tiện ích bằng mã QR vào bước xác minh số điện thoại kiểu cũ

    • Tôi không biết sẽ ra sao nếu điện thoại không làm được việc đó. Tôi dùng điện thoại nắp gập, có camera nhưng không quét mã QR được
    • Cách cũ là người dùng nhận SMS. Giờ nhận SMS quá dễ, chỉ cần trả 30 cent cho mấy trại điện thoại là có, nên Google đổi sang bắt gửi đi. Rồi mấy trại điện thoại cũng sẽ thích nghi thôi
    • https://datatracker.ietf.org/doc/html/rfc5724#section-2
    • Có lẽ chỉ cần điện thoại mở ứng dụng nhắn tin và điền sẵn số cùng nội dung là đủ. Người dùng chỉ việc bấm gửi
    • Xác minh số điện thoại thường là Google gửi SMS cho người dùng đúng không? Chiều ngược lại nghe khá lạ

  • Động thái gần đây của Google trông như bằng chứng quyết định mà tòa chống độc quyền đang cần. Kiểu như “làm cái này đi, nếu không thì...”
    reCAPTCHA, Gmail, Google Suite, Android, Chrome, Colab, Google Play đều phải là những mảng kinh doanh có thể tự đứng vững độc lập, tách khỏi cỗ máy quảng cáo của Google
    Gmail phải cạnh tranh với các nhà cung cấp email khác để giành người dùng, còn reCAPTCHA cũng phải tự gánh toàn bộ chi phí hạ tầng chỉ bằng doanh thu của reCAPTCHA. Đây là cách tốt để san phẳng môi trường cạnh tranh, dập bớt chỉ trích và tạo không gian thở

    • Google từng tuyên bố AI là mối đe dọa khổng lồ đối với đế chế tìm kiếm và quảng cáo của họ. Thế nhưng chỉ vài tuần sau khi thẩm phán đưa ra các biện pháp yếu đến mức đáng ngạc nhiên đối với hành vi lạm dụng độc quyền của Google, họ đã hợp tác với Apple để biến gần như 100% AI agent mặc định trên smartphone thành dựa trên Google
    • Nếu Google độc quyền email đến mức như vậy, thì trên mạng chẳng phải cứ dùng bất kỳ dịch vụ email miễn phí hoặc trả phí nào khác là được sao

  • Gần đây tôi giúp thiết lập tài khoản Google Workspace cho một doanh nghiệp nhỏ, và đã đụng tường ngay trong quá trình đăng ký
    Tôi đã nói với chủ doanh nghiệp rằng nếu ngay từ bước đăng ký mà Google đã phiền phức thế này, thì sau này khi tài khoản bị khóa lúc công việc của khách hàng đang phụ thuộc vào đó sẽ còn thế nào nữa. Tôi cho họ xem vài câu chuyện kinh dị về việc tài khoản Google bị khóa, và cuối cùng họ chọn một giải pháp cộng tác cho công việc khác

    • Nếu bạn định nâng cấp từ Business Standard lên Business Plus, Google sẽ giảm dung lượng Workspace từ 2TB mỗi người dùng xuống 0 byte trong tối đa 24 giờ trong lúc nâng cấp
      Phản hồi thực tế từ bộ phận hỗ trợ là: “Chúng tôi đã xác nhận rằng gói đang được nâng cấp từ Business Standard lên Business Plus nên dung lượng đang hiển thị là 0 byte. Bạn không cần lo lắng, đây là hoàn toàn bình thường”
      Họ còn nói thêm: “Khi gói thuê bao được nâng cấp, hệ thống backend trước tiên phải tách phần phân bổ dung lượng Business Standard cũ, sau đó mới provision giới hạn Business Plus mới; trong giai đoạn chuyển đổi này, quota tạm thời mặc định về 0”
      Cuối cùng họ còn bảo bật giới hạn dung lượng người dùng hoặc giới hạn dung lượng shared drive rồi tắt đi sau 5 phút, nhưng nỗ lực đó nhằm đặt lại quota nhanh hơn đã thất bại, và rốt cuộc vẫn mất vài tiếng
    • Vì thế tôi đã bắt đầu lên kế hoạch chuyển mọi domain mình quản lý ra khỏi Gmail. Gmail với tư cách một sản phẩm thực sự không khá hơn, lại còn ngày càng phiền khi cố bán thêm những thứ mình không muốn và không cần
      Mỗi năm nó lại tệ đi một chút. Quy mô của Gmail quá lớn nên ngay cả khi đang trả tiền, khả năng nhận được hỗ trợ cũng gần như không có, và rủi ro đó là quá lớn để chấp nhận
    • Tôi tò mò “đụng tường trong quá trình đăng ký” nghĩa là gì. Là chuyện quét mã QR rồi gửi tin nhắn trong bài này, hay là vấn đề khác
    • Từ năm 2013 đến giờ tôi dùng khá hài lòng
      Chỉ là trong khoảng 1 năm gần đây, tôi bắt đầu nghe nhân viên phàn nàn rằng mấy popup liên quan đến AI rất phiền, dù họ không muốn dùng
    • Tôi tò mò là bạn dùng gì thay thế. Dù đúng là cỏ bên kia lúc nào cũng xanh hơn
      Nhưng việc Microsoft có thể cho sản phẩm tệ hơn mà hỗ trợ lại tốt hơn thì cũng không có gì đáng ngạc nhiên

  • Tôi vừa tự thử quy trình đăng ký thì không cần mã QR. Vẫn là thủ tục y hệt như mấy năm nay
    Chọn cá nhân/con cái/doanh nghiệp, nhập tên, chọn email, ngày sinh, email khôi phục hoặc bỏ qua, mật khẩu, nhập số điện thoại, xác minh mã 2 bước, rồi xong
    Tôi đã tạo tài khoản testregistrationflow@gmail.com, và vì đã quên mật khẩu rồi nên coi như đốt luôn một tài khoản. Bạn có thể thử với testregistrationflow1@gmail.com xem có làm được mà không cần mã QR không
    Tiêu đề rõ ràng đã diễn đạt sai một luồng cụ thể vốn áp dụng cho những người đang cố tạo nhiều tài khoản Gmail theo cách lập trình

    • Có lẽ yêu cầu này được kích hoạt tùy theo mức độ Google đánh giá người dùng là đáng tin cậy tới đâu. Những yếu tố như dùng Linux, dùng Firefox, dùng VPN có thể ảnh hưởng
    • Nếu số điện thoại dùng cho xác minh 2 bước rơi vào trạng thái “đã được dùng quá nhiều lần”, bạn có thể bị chặn giữa chừng khi đăng ký
      Có vẻ không có giới hạn nào được tài liệu hóa, và giải pháp duy nhất mọi người tìm ra là nhờ số điện thoại của người khác để xác minh giúp
      Khó hơn nữa là khi bạn bị đăng xuất khỏi tài khoản hiện có. Lúc đăng nhập lại, nó yêu cầu số điện thoại cho xác minh 2 bước, và ngay cả khi nhập đúng số đã dùng lúc xác minh đăng ký ban đầu thì vẫn thất bại vì số đó đã được dùng quá thường xuyên
      Như vậy bạn còn không thể đăng nhập vào cả tài khoản hợp lệ đã tồn tại. Tất nhiên đáng lẽ nên thêm cách xác minh 2 bước khác hoặc passkey, nhưng vẫn khó hiểu tại sao không thể xác minh lại bằng chính số đã dùng ban đầu
      Hơn nữa, khi đăng ký các dịch vụ Google khác, bạn cũng không thể dùng số Google Voice cho xác minh 2 bước để xác nhận tài khoản
    • Có lẽ nên quay lại cơ chế chỉ mời mới tham gia nguyên bản thời Gmail mới ra mắt
      Nếu mỗi tài khoản chỉ được mời tạo số lượng tài khoản mới nhỏ và hữu hạn, đó có thể là một cách ngăn kẻ lừa đảo
    • Nếu tạo tài khoản thông qua dịch vụ Google trên điện thoại thì thậm chí còn không cần số điện thoại
    • Hôm nay tôi gặp cả Google QR CAPTCHA lẫn CAPTCHA truyền thống. Có vẻ họ đang triển khai dần

  • Câu “phải quét mã QR” cũng giống như nói rằng để mở cửa tàu thì phải quét mã QR, nhưng lại bỏ qua việc yêu cầu thực sự là phải liên kết điện thoại với thông tin thanh toán để tính phí
    Thứ Google đang xác minh ở đây không phải là khả năng biến data matrix thành byte

  • Mấy thay đổi kiểu này trông như thay đổi về “bảo mật”, nhưng đồng thời cũng có vẻ cực kỳ tiện để loại bỏ rất nhiều quy trình bảo vệ quyền riêng tư

    • Tôi nghĩ đúng là vậy. Giám sát hoàn toàn chỉ hoạt động khi người ta bị buộc phải đeo vòng cổ theo dõi
      Bước tiếp theo có thể là gắn với tiền kỹ thuật số của ngân hàng trung ương cần số điện thoại để truy cập ví, rồi buộc với giấy tờ định danh thật hoặc hộ chiếu để hạn chế di chuyển
      Xác minh 2 bước đã trở thành cái nêm phá nát quyền riêng tư
    • Có các dịch vụ trực tuyến cung cấp số điện thoại tạm để kích hoạt tài khoản nhằm lách yêu cầu của Google, nhưng phần lớn chỉ nhận được tin nhắn đến
      Việc bắt người dùng phải gửi SMS có vẻ là cách rất hay để loại bỏ các dịch vụ đó, khiến bot không dùng được nữa
      Tôi không rõ “quy trình bảo vệ quyền riêng tư” có ý nghĩa gì trong tài khoản Google. Google có thể theo dõi người dùng ngay cả khi không biết số điện thoại